Показано с 1 по 15 из 15.

Постоянное подключение к http://soft.jajaca.com/lib.zip и вирус j001.exe (заявка № 91575)

  1. #1
    Junior Member Репутация
    Регистрация
    12.11.2010
    Сообщений
    19
    Вес репутации
    49

    Thumbs up Постоянное подключение к http://soft.jajaca.com/lib.zip и вирус j001.exe

    Доброго времени суток. Помогите пожалуйста излечить вирусы. Касперский постоянно ругается на подключение к soft.jajaca.com/lib.zip и каждый раз удаляет ряд вирусов под названиями j001.exe...d002.exe и т.д.
    Последний раз редактировалось olejah; 13.11.2010 в 08:20. Причина: Вредная ссылка убрана.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('G:\usb.wsf','');
     QuarantineFile('G:\autorun.inf','');
     QuarantineFile('C:\WINDOWS\system32\acpi24.dll','');
     QuarantineFile('C:\WINDOWS\system32\035.tmp','');
     DeleteService('iuldye');
     DeleteService('acpi24Drv');
     QuarantineFile('C:\WINDOWS\system32\acpi24.exe','');
     DeleteService('acpi24');
     DeleteFile('C:\WINDOWS\system32\acpi24.exe');
     DeleteFile('C:\WINDOWS\system32\035.tmp');
     DeleteFile('C:\WINDOWS\system32\acpi24.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    12.11.2010
    Сообщений
    19
    Вес репутации
    49
    Сделал, логи прикрепил, карантин выслал.

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Пофиксите в hijackthis -

    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     DeleteService('e ds');
     QuarantineFile('C:\WINDOWS\system32\UE7WLQXR\J001.exe','');
     DeleteService('rfr');
     QuarantineFile('C:\WINDOWS\system32\UE7WLQXR\G001.exe','');
     DeleteService('windowss');
     QuarantineFile('C:\WINDOWS\system32\V400WQSK\J001.exe','');
     QuarantineFile('C:\WINDOWS\system32\waekaprnlib.dll','');
     QuarantineFile('C:\Program Files\usb_anti_autorun\usb.wsf','');
     DeleteFile('C:\WINDOWS\system32\waekaprnlib.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WaekSvc\Parameters','ServiceDll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WaelSvc\Parameters','ServiceDll');
     DeleteFile('C:\WINDOWS\system32\V400WQSK\J001.exe');
     BC_DeleteSvc('windowss');
     DeleteFile('C:\WINDOWS\system32\UE7WLQXR\G001.exe');
     BC_DeleteSvc('rfr');
     DeleteFile('C:\WINDOWS\system32\UE7WLQXR\J001.exe');
      DeleteFileMask('C:\WINDOWS\system32\V400WQSK','*.*',true);
     DeleteDirectory('C:\WINDOWS\system32\V400WQSK');
     DeleteFileMask('C:\WINDOWS\system32\UE7WLQXR','*.*',true);
     DeleteDirectory('C:\WINDOWS\system32\UE7WLQXR');
     DeleteFileMask('C:\WINDOWS\system32\UE7WLQXR','*.*',true);
     DeleteDirectory('C:\WINDOWS\system32\UE7WLQXR');
     BC_DeleteSvc('e ds');  
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    Program Files\usb_anti_autorun\usb.wsf - сами ставили, знаете что это такое?

    - Сделайте лог Гмер

  6. #5
    Junior Member Репутация
    Регистрация
    12.11.2010
    Сообщений
    19
    Вес репутации
    49
    Program Files\usb_anti_autorun\usb.wsf - это программа для удаления вируса авторан со съемных носителей, в свое время скаченая с инета.

    Карантин отправил.

    Лог GMER:
    Последний раз редактировалось dance_machine; 13.11.2010 в 09:52.

  7. #6
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    - Сохраните текст ниже как 1.bat в ту же папку, где находится h2sqotl5.exe(GMER) и запустите этот батник(1.bat):

    Код:
    h2sqotl5.exe -del service gvqmdw
    h2sqotl5.exe -del service tgafk
    h2sqotl5.exe -del file "C:\WINDOWS\system32\skmqtd.dll"
    h2sqotl5.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gvqmdw"
    h2sqotl5.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\tgafk"
    h2sqotl5.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gvqmdw"
    h2sqotl5.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\tgafk"
    h2sqotl5.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\gvqmdw"
    h2sqotl5.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\tgafk"
    h2sqotl5.exe -reboot
    Компьютер перезагрузится.

    После перезагрузки:
    - Сделайте повторные логи АВЗ
    - Сделайте новый лог Gmer

  8. #7
    Junior Member Репутация
    Регистрация
    12.11.2010
    Сообщений
    19
    Вес репутации
    49
    Логи АВЗ и Гмер

  9. #8
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     DeleteService('WinHelp32');
     DeleteFile('C:\WINDOWS\system32\WinHelp32.exe');
     BC_DeleteSvc('WinHelp32');     
     DeleteFile('C:\WINDOWS\system32\t\mb\J001.exe');
     BC_ImportAll;
     ExecuteSysClean;
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet001\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    - Повторите логи АВЗ

  10. #9
    Junior Member Репутация
    Регистрация
    12.11.2010
    Сообщений
    19
    Вес репутации
    49
    Сделано.

    Лог:

  11. #10
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Выполните скрипт в АВЗ -

    Код:
    var j:integer; NumStr:string;
    begin
    for j:=0 to 999 do
     begin
        if j=0 then
            NumStr:='CurrentControlSet' else 
            if j<10 then
                NumStr:='ControlSet00'+IntToStr(j) else
                if j<100 then
                    NumStr:='ControlSet0'+IntToStr(j) else
                    NumStr:='ControlSet'+IntToStr(j);
     if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
      begin
      RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
      RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
      AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
      end;
     if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
      begin 
      RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
      RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
      AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
      end;
     end;
    SaveLog(GetAVZDirectory + 'fystemRoot.log');
    end.
    - прикрепите к сообщению файл fystemRoot.log, который появится в папке с AVZ

  12. #11
    Junior Member Репутация
    Регистрация
    12.11.2010
    Сообщений
    19
    Вес репутации
    49
    Сделано.

  13. #12
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Что с проблемой?

  14. #13
    Junior Member Репутация
    Регистрация
    12.11.2010
    Сообщений
    19
    Вес репутации
    49
    Уррааа!!! Больше нет этих вирусов. Огромное спасибо Вам!!!

  15. #14
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Рекомендуется

    - Установить все важные обновления.
    - Установить IE 8 - даже если Вы им не пользуетесь.

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 22
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\program files\\usb_anti_autorun\\usb.wsf - Worm.VBS.VirusProtection.d ( DrWEB: VBS.Autoruner.103, BitDefender: Generic.ScriptWorm.22F0F47D, AVAST4: VBS:VirusProtection-C )
      2. c:\\windows\\system32\\acpi24.dll - Trojan-Downloader.Win32.Agent.fccl ( DrWEB: Trojan.Siggen2.8159, BitDefender: Trojan.Generic.5483293, AVAST4: Win32:Malware-gen )
      3. c:\\windows\\system32\\waekaprnlib.dll - Net-Worm.Win32.Kolab.mrz ( DrWEB: Trojan.Siggen2.8116, BitDefender: Gen:Variant.TDss.35, AVAST4: Win32:Alureon-LC [Trj] )
      4. g:\\autorun.inf - Worm.VBS.VirusProtection.c ( BitDefender: Trojan.Script.447839, NOD32: INF/Autorun worm, AVAST4: VBS:Malware-gen )
      5. g:\\usb.wsf - Worm.VBS.VirusProtection.d ( DrWEB: VBS.Autoruner.103, BitDefender: Generic.ScriptWorm.22F0F47D, AVAST4: VBS:VirusProtection-C )


  • Уважаемый(ая) dance_machine, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Качает вирусы с soft.jajaca.com
      От sic в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 02.02.2011, 17:54
    2. вирус soft.jajaca.com/lib.zip
      От Vla-luka в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 01.02.2011, 15:31
    3. svchost.exe ссылается на soft.jajaca.com
      От Almaz в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 24.01.2011, 15:22
    4. HELP!!! http://soft.jajaca.com/lib.zip и вирус j001.exe
      От Cyber Wolf в разделе Помогите!
      Ответов: 46
      Последнее сообщение: 25.12.2010, 00:19
    5. Ответов: 3
      Последнее сообщение: 07.12.2010, 14:33

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00094 seconds with 19 queries